Порвали два трояна
5.66K subscribers
566 photos
67 videos
18 files
782 links
Про ИБ в бизнесе, промышленности и многом другом 💼

Главный канал Kaspersky Daily @kasperskylab_ru

Связь @KasperskyCrew
Download Telegram
👀 TeamViewer хакнули

Пока идёт расследование и окончательный масштаб инцидента станет ясен позже, но по текущей информации злоумышленники проникли в корпоративную (офисную) сеть TeamViewer Germany GmbH при помощи скомпрометированного аккаунта сотрудника. Что они делали в сети, компания не говорит, но взлом атрибутируют группировке APT29, что означает вероятную нацеленность на компрометацию цепочки поставок в стиле SolarWinds. Конечно, TeamViewer в этом смысле является очень привлекательной целью. Пока TeamViewer настаивает, что офисная сеть строго изолирована от прода, поэтому ни пользовательские данные, ни продукты не пострадали. Будем с интересом наблюдать, компания оперативно разгласила инцидент, пригласила внешний IR и обещает регулярно публиковать новые данные по нему.

#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👌 Интересные новости ИБ и исследования APT за неделю

📊 Количество атак на малый и средний бизнес в РФ за прошлый год выросло на 5%. Излюбленная тактика злоумышленников — маскировать ВПО под Excel.

⚡️ Предупредите своих разработчиков — новые фишинговые атаки рассылаются через инфраструктуру GitHub и имитируют предложения о работе. Хотя предложение о работе в комментарии к коммиту звучит странно, некоторые юзеры попадаются и теряют аккаунт GitHub (а иногда и репо).

🤯 Группировка Chamelgang, приоритетной целью которой является шпионаж, использует ransomware CatB, чтобы замести следы своей деятельности и замаскировать цели операции.

Разбор нового бэкдора HappyDoor, которым вооружилась APT Kimsuky.

👮‍♂️ Некоторые распространители троянов и инфостилеров слишком жадные — они ставят на поражённые системы десяток разных ВПО сразу: MysticStealer, Smokeloader, Redline и далее по списку. Актор, названный Unfurling Hemlock, неразборчив и географически, поэтому жертвы есть в США, РФ, Германии, Турции, Индии и других странах.

🔑 TeamViewer хакнули, расследование идёт с четверга, а в воскресенье подтвердили, что скомпрометирована только офисная сеть и злоумышленники стащили пароли сотрудников от корпоративных учёток. Даже если всё так, видимо будет вторая серия.

GitLab устранила 14 уязвимостей в своих продуктах, включая критические. Обновляйтесь.

🫥 Группа Reaverbits атакует российские компании из сфер телекома, ритейла, промышленности и сельского хозяйства. Целью является шпионаж, а вектором атаки — вредоносная рассылка от имени министерств и регуляторов. Последняя волна рассылок прошла в мае.

🚀 Атака на цепочку поставок в вебе: новые владельцы популярной библиотеки и сайта Polyfill JS наладили инъекцию вредоносных скриптов во все сайты, где применяется эта библиотека, загружаясь с cdn.polyfill.io, а их на минуточку, 100 тысяч. Сайт заблокировали Cloudflare и Google, но злоумышленники не сдаются.

Google Chrome поэтапно прекращает доверять сертификатам, выписанным Entrust.

📱 Анализ Android RAT под названием SpyMax, нацеленного на пользователей Telegram.

🐥 А другое нацеленное на Android ВПО Snowblind интересно даже не вредоносной функциональностью, а новаторским использованием seccomp для обхода проверок целостности, имеющихся в заражённом приложении. Добро пожаловать в мир, где песочница — это тоже вредоносный инструмент. ☠️

#дайджест #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🚒 Июль и понедельник начались с RCE в OpenSSH 🔥

CVE-2024-6387 затрагивает версии OpenSSH с 8.5p1 по 9.7p1 и является регрессией старого дефекта, получившего CVE-2006-5051.
Атакующий без всякой аутентификации может получить root на Linux-системах, основанных на glibc, но для этого ему потребуется спровоцировать race condition и выиграть гонку. Исследователи, нашедшие и ответственно разгласившие уязвимость, говорят, что обычно это удаётся за десять тысяч попыток — при стандартных настройках OpenSSH на атаку уходит 6-8 часов.
По данным Censys и Shodan, в Интернете доступно около 14 млн потенциально уязвимых хостов.

Чтобы уязвимость, получившая имя regreSSHion, не снилась по ночам как Log4shell, рекомендовано обновить OpenSSH, а также ограничить доступ к устройствам с запущенным сервисом на базе OpenSSH при помощи сетевых инструментов управления доступом. Стоит помнить, что это не только серверы, но и многие устройства IoT.

#новости #уязвимости @П2Т
Базовые понятия в работе SOC

Если вы только погружаетесь в темы SOC, SIEM, MDR и не знаете нюансов, отличающих события от алертов, или хотите понять, какие бывают ханты, то рекомендуем краткую и живую статью Сергея Солдатова. На примере нашего сервиса MDR он объясняет повседневные и жаргонные термины и то, как все эти сущности используются на практике.

#Азбука_ИБ #SOC @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
💾 Вредоносные USB снова в моде

В атаках на промышленные объекты, где в той или иной мере практикуется изоляция инфраструктуры от публичных сетей, заражение через USB-носители остаётся значимым вектором проникновения, но последний отчёт Honeywell отмечает значительный рост атак за минувший год — количество выловленного на входном контроле ВПО выросло на 33%.

Злоумышленники стараются закрепиться в системах и повысить привилегии, во многом опираются на скрипты Powershell и LOLbins и демонстрируют значительно выросшее понимание ландшафта OT/ICS. Для выполнения своих задач, включая деструктивные, стараются применять лишь штатные инструменты, уже доступные в системе. За пять лет наблюдений, доля ВПО, специально спроектированного под самостоятельное распространение через USB, выросла с 9% до 51%, а доля зловредов, пытающихся установить связь с атакующими после заражения, выросла с 32% до 53%.

82% атак могут привести к нарушению работы промышленных систем, включающих потерю контроля и потерю телеметрии с пораженной системы.

В отчёте Kaspersky ICS CERT, что интересно, наблюдается противоположный тренд — на USB-носителях обнаруживают меньше угроз. Учитывая, что этот отчёт основан на данных компьютеров, подключённых к сети, а данные Honeywell собраны из практически из air gap, разница в данных может дополнительно подтверждать целевой характер USB-атак.

#статистика #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👨‍🦱👩‍🦰 Какой штат ИБ нужен компании?

Ответ сильно зависит от её размера и особенностей организации, но Wavestone в своём Cyber benchmark 2024 подсчитали, что для крупных компаний (доход от $1 млрд) один специалист ИБ приходится на 1,086 сотрудников.

Значительно отличаются от средних цифр только компании из финансовой индустрии — здесь один ИБ-спец приходится на 267 сотрудников.

Что касается бюджета, то в среднем на нужды ИБ тратится 6,6% от общего бюджета ИТ, и разброс между индустриями не так велик.
Правда, в случае серьёзного киберинцидента бюджет мгновенно увеличивается до 15% 😇

Большая часть отчёта посвящена измерению киберготовности и зрелости, но об этом сегодня писать не будем. Отметим только, что авторы отчёта смогли измерить влияние регуляторики — там где есть строгие регуляторные требования, готовность и зрелость достигают 57% против 51% в нерегулируемых индустриях.

#статистика @П2Т
🚘 Чтение на выходные: как обезопасить ваш следующий автомобиль

Уже сегодня по дорогам ездит почти 200 миллионов автомобилей, постоянно подключённых к Интернету. Их число будет расти и дальше, поэтому истории про угон Тесл, окирпичивание авто при обновлении прошивки и автомобильное ransomware станут массовыми. 😐

Многие автопроизводители долго игнорировали кибербезопасность, но больше у них так не получится. Уже принято несколько международных стандартов, обязывающих делать автомобильную электронику конструктивно безопасной.

О том, как отдельные электронные блоки управления эволюционируют в автомобильные минисерверы, почему в авто появится шлюз безопасности и при чём здесь KasperskyOS, читайте в подробной статье на РБК!

#советы #авто @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🎣 На эксплойт к regreSSHion ловят исследователей ИБ

В соцсети, ранее известной как Twitter, распространяется архив, якобы скачанный с сервера, проводящего эксплуатацию свежей уязвимости в OpenSSH (CVE-2024-6387). По легенде в архиве находятся рабочий эксплойт и полезная нагрузка.

По данным нашего анализа, этот архив может быть приманкой для любопытных ИБ-шников. На самом деле вместо эксплойта там содержится его исходный код, похожий на отредактированную версию ранее гулявшего по сети фейкового PoC к этой уязвимости, и набор вредоносных бинарных файлов и скриптов. Один из них, скрипт на Python, имитирует попытки эксплуатации по списку IP-адресов, а на самом деле запускает вредоносный файл exploit, который представляет собой загрузчик, осуществляющий закрепление в системе и последующую загрузку полезной нагрузки с удалённого сервера с помощью записи файла в директории /etc/cron.hourly. Также он модифицирует файл ls и записывает в него свою копию, повторяющую выполнение вредоносного кода при каждом запуске. С помощью этой нехитрой кампании, возможно, рассчитывают скомпрометировать ИБ-службы организаций.

Напомним, что по текущей оценке ИБ-сообщества, практическая эксплуатация regreSSHion сопряжена с большими трудностями.

#новости @П2Т
Интересные исследования APT и новости ИБ за неделю

🤨 Уязвимость в OpenSSH: хайп, здравый смысл, попытки атаковать ИБ-исследователей.

🥳 Европол совместно с партнёрами накрыл сеть из 600 управляющих серверов Cobalt Strike, применявшихся в кибератаках. После операции число активных серверов злоумышленников в сети снизилось на четверть.

💬 Раскрыта масштабная группа кампаний целевого фишинга, ориентированного на руководство крупных фирм, сотрудников госучреждений и медицинских организаций. Три разные группировки используют каждая свой инструментарий, но общей характерной особенностью являются развитые инструменты обхода MFA, оптимизированные под инфраструктуру жертвы.

🆔 Кстати о фишинге: детальный разбор криминальной инфраструктуры, применяемой в массовых схемах фишинговых атак.

👮‍♀️ В Латинской Америке активизировался банковский троянец Mekotio. Вероятно, это связано с недавней полицейской операцией по отключению инфраструктуры Grandoreiro, другого троянца, который по оценке исследователей имеет общие корни с Mekotio.

🚀 Обнаружена Linux-версия троянца TgRat, управляемого через Telegram.

🌚 Детальный разбор RaaS Eldorado. По оценке исследователей, группировка невелика, имеет ВПО для Linux и Windows, не работает по странам СНГ.

🖨 В отличие от OpenSSH, дыра в Ghostscript не наделала особого шума в новостях, и возможно зря. CVE-2024-29510 позволяет вредоносному коду в PDF покинуть песочницу и отработать на компьютере. Учитывая, что значительное количество современных приложений и веб-приложений применяют Ghostscript в качестве движка отображения, преобразования и печати PDF, где может сработать этот дефект — остаётся только гадать. Уязвимость устранена в 10.03.1, но на него должны перейти все разработчики софта, куда внедрён Ghostscript 🤷‍♂️ Крупные проекты, в том числе основные дистрибутивы Linux, своевременно интегрировали этот патч.

🔎 Один из крупнейших европейских хостинг-провайдеров OVHcloud отчитался об очередных волнах DDoS-атак. Тревогу вызывают не столько отдельные рекорды (840 Mpps), сколько резкое учащение очень мощных атак (более 100 Mpps) — они идут сотнями каждую неделю. Во всём винят заражённые роутеры MicroTik Core Cloud Router, часто используемые небольшими интернет-провайдерами для корпоративных клиентов.

💾 Старый, но всё ещё популярный среди небольших организаций и частных пользователей веб-сервер Rejetto HFS атакуют при помощи разглашённой в мае CVE-2024-23692, приводящей к RCE без аутентификации. На поражённых системах ставят криптомайнеры и бэкдоры PlugX, GhostRAT, XenoRAT. Уязвимы неподдерживаемые версии линейки 2.3, более новая версия 3 не содержит этого дефекта.

🤡 Они реально существуют: в Австралии задержали человека, который с помощью фальшивой точки доступа Wi-Fi выманивал данные пассажиров прямо во время авиаперелёта.

#новости #дайджест @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
☁️ CloudSorcerer атакует российские госорганы

Мы выявили серию кибератак на госучреждения, проводимую при помощи нового набора инструментов CloudSorcerer. Это ВПО предназначено для шпионажа и представляет собой компактный исполнимый файл, функции которого отличаются в зависимости от процесса, в котором он запущен: это может быть бэкдор, модуль связи с С2 или внедрение шеллкода в целевые процессы.

В качестве С2 используется репозиторий на GitHub, а эксфильтрация ведётся через облачные службы Microsoft Graph, Yandex Cloud и Dropbox.
Несмотря на сходство технических приёмов с прошлогодней киберугрозой CloudWizard, мы считаем, что за новой атакой стоит другая APT-группировка.

#APT #новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
🛡 Защищаем распределённые сети в промышленности

Развернуть в географически распределённой сети промышленную систему обнаружения вторжений бывает крайне сложно: беспроводные и нестабильные каналы передачи данных, сложности с подключением сенсоров СОВ и вопросы рентабельности затрудняют полноценный сбор промышленного трафика — по крайней мере, если строить систему по стандартным подходам.

Чтобы решить эту проблему в комплексе, мы представляем комбинацию из Kaspersky SD-WAN и Kaspersky Industrial CyberSecurity. Она позволит повысить уровень безопасности и создать программно управляемую сеть поверх любых доступных каналов передачи данных (LTE, MPLS, и т.д.), в том числе каналов с нестабильной связью.

#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
☝️ У KasperskyOS появился «центр приложений»

Сегодня на Иннопроме команда KasperskyOS представляет сразу две важные новинки: новую версию Kaspersky Iot Security Gateway, доросшего до версии 3.0, а также долгожданный инструмент расширения возможностей KasperskyOS-устройств — централизованную платформу Kaspersky Appicenter! Она позволяет сторонним разработчикам создавать для шлюзов KISG собственные приложения, например клиенты для подключения к облачным платформам.

🎬 Подробнее об этом — в коротком видео от Виталия Ермохина, менеджера по продукту KasperskyOS! 🈁

#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
🚁 Новая волна целевого фишинга в РФ

В воскресенье началась волна таргетированных атак на российские компании с целью сбора конфиденциальной информации.

Приманкой является файл, имитирующий документ «Применение перспективного многофункционального эшелонированного воздушного комплекса на базе БПЛА». В действительности это ВПО в формате .scr, открывающее документ-обманку и скачивающее дополнительные вредоносные нагрузки.

Более детально механика атаки и виды собираемой информации описаны у нас в блоге.

#новости @П2Т
🩹🩹 Июльский Patch tuesday: 4 зиродея

Плановое обновление продуктов Microsoft устраняет 142 уязвимости, из которых две являлись активно эксплуатируемыми, а ещё две были разглашены до исправления.

Всего 5 уязвимостей признаны критическими, все приводят к RCE. В целом, к исполнению кода приводят 59 дефектов, еще 26 — к повышению привилегий, 24 — обходу функций безопасности, 9 — разглашению информации, 17 — DoS, 7 — spoofing.

Активно эксплуатировались EoP в HyperV (CVE-2024-38080, CVSS 7.8), позволяющая получить привилегии system, и спуфинг в MSHTML (CVE-2024-38112, CVSS 7.5).
Про детали эксплуатации первого дефекта известно мало, а по второму доступен детальный отчёт Checkpoint — вредоносный файл .url принудительно открывался в устаревшем Internet Explorer, создавая обширные возможности для развития атаки.

Два других зиродея, не применявшихся (вроде бы) в атаках — это RCE в .NET и Visual Studio (CVE-2024-35264) и атака по побочному каналу на ARM-процессорах, получившая название FetchBench (CVE-2024-37985).

Среди дефектов, которые не эксплуатировались злоумышленниками, но могут быть поставлены им на службу в скором времени, отметим RCE в MS Office и Windows Imaging Component (CVE-2024-38021, -38060), три критических RCE в Remote Desktop Licensing Services (CVE-2024-38074, -38076, -38077), а также десяток EoP в Windows.

#новости @П2Т
🚨 RCE в Ghostscript эксплуатируется в атаках

Иногда неприятно наблюдать, как наши предсказания сбываются — обнародованная недавно RCE в популярном движке Ghostscript (CVE-2024-29510) нашла своё применение в реальных атаках.

Этот open source механизм печати, просмотра и конвертации документов внедрён в множество популярных приложений, например набор утилит Imagemagick и пакет LibreOffice. Уязвимы также многие Javascript-библиотеки по уменьшению и предварительной обработке загружаемых на сайт изображений.
По словам исследователей, вредоносный postscript-файл, замаскированный под JPG, позволяет тривиально получать шелл на уязвимых серверах.

Поэтому все, у кого где-то в цепочке обработки информации используется Ghostscript, должны обновить его до свежей версии.

#новости #уязвимости @П2Т
📌 Приоритизация разработки детектов по MITRE

Любому центру мониторинга приходится бесконечно дорабатывать детектирующую логику. При этом нужно рационально планировать усилия, в первую очередь покрывая самые важные TTP злоумышленников с учётом доступных возможностей сбора и обработки телеметрии.

⚡️В нашей новой статье рассмотрен пошаговый подход к приоритизации, основанный на применении MITRE Data Sources, DeTT&CT и ATT&CK Navigator. Он может быть использован в качестве отправной точки для работы в SOC, хотя в идеале его нужно дополнить, включив оценку ландшафта актуальных для вашей организации угроз, учёт реестра рисков и возможностей по автоматизации и ручной разработке.

Применив предложенную методику, центр мониторинга получает ранжирование техник MITRE с привязкой к собственным возможностям и глобальной статистике по действиям злоумышленников во время атак.
При этом он оптимизирован для минимизации трудозатрат на подготовку и позволяет сразу приступить к реализации наиболее актуальных детектов.
🟣 Читать статью

#советы #SOC @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM